IT之家 12 月 23 日訊息,據 NeoWin 報道,如果你在聖誕節前收到解僱的電子郵件,應格外小心。目前網路上發現了一種新的 Dridex 網路釣魚方法,向潛在受害者傳送虛假的解僱電子郵件。
這種網路釣魚攻擊是由安全研究員和 Twitter 使用者 @ffforward 發現的,如下圖所示,郵件中包含一個名為“TermLetter”的附加 Excel 檔案,可能是 Termination Letter 的縮寫。
這封電子郵件稱,有關人員的工作將於聖誕節前一天的 12 月 24 日結束,目的是讓讀者感到迷惑不解,從而使用提供的密碼下載並開啟 Excel 檔案。
Excel 會要求受害者啟用內容,並彈出“聖誕快樂”的訊息。當然,這只是危險的第一步。
IT之家瞭解到,當受害者啟用內容時,攻擊指令碼會在 C:\ProgramData 資料夾中建立並啟動一個帶有偽裝成 RTF 檔案的 VBScript 的惡意 HTA 檔案。這個資料夾一般是隱藏的,需要取消隱藏才能看到裡面的內容。
此 HTA 惡意軟體檔案繼續從 Dridex Discord 伺服器下載 Dridex 銀行木馬。惡意檔案已被駭客命名為“jesusismyfriend.bin”。安裝後,Dridex 將竊取憑據並在受感染裝置上下載其他惡意軟體。